有没有办法知道谁执行了命令?

有没有办法知道谁执行了命令?

我们正在使用 redhat,我们想知道是否有办法显示执行 rm 命令行的会话 id 或用户名,最近,其他团队的某人删除了一个 .jar 文件,而我和我的团队想知道是谁?有没有一种方法可以在不安装任何其他软件的情况下知道?

答案1

您可以查看.bash_history每位团队成员的 shell 历史文件(如果您使用的是 Bash),看看是否找到了有问题的命令,前提是他们没有通过删除来掩盖其痕迹。

如果用户sudo事先已经运行过您已启用 sudo 日志记录,您可以查找/var/log/sudo有问题的命令和用户。

如果每个人都知道 root 密码(不好!)并且罪魁祸首以 root 身份运行了有问题的命令,那么就没有办法知道。即使事后安装一些软件也没有任何帮助;必须事先设置审核工具。

相关内容